Humanity Protocolは、攻撃者が1台のデバイスから7つのキーを盗んだと発表

Humanity Protocolは、マルウェアに感染した開発者マシンを、イーサリアムおよびBNB Smart Chain全体で約4億4700万枚のHトークンの盗難および不正ミントにつながったセキュリティ侵害の発生源として特定した。

Humanity Protocolのインシデントレポートによると、攻撃者は開発者デバイスへのルートアクセスを取得し、プロジェクトの2025年6月のメインネットローンチ時に誤ってバックアップされた7つの秘密鍵を入手した。 

取得した鍵には、管理者ホットウォレットキー、3つのイーサリアムSafeオーナーキー、3つのBSC Safeオーナーキーが含まれており、攻撃者は単一の侵害されたマシンから重要なインフラへのアクセスを得た。

今回の調査結果は、以前にHが急落し、その後部分的に回復した攻撃に新たな詳細を加えるものだ。6月10日、トークンは0.163ドル付近で取引され、24時間で23.7%上昇したものの、エクスプロイト後の前週比では74.1%下落したままだった。

Humanity Protocolは、今回の事件はブリッジコントラクト、トークンコントラクト、またはSafeアーキテクチャの欠陥によるものではないと述べた。代わりに、攻撃者は認証情報の制御を取得した後、有効な秘密鍵を使用して送金、Safeトランザクション、およびコントラクトアップグレードを承認した。

攻撃者は盗んだ鍵を使ってブリッジの制御を掌握

レポートによると、攻撃は6月8日から6月9日の間に3つの別々のアクションにわたって展開された。

最初の波では、秘密鍵が侵害された後、イーサリアムの管理者ホットウォレットから604万HのHが引き出された。そこから攻撃者はプロトコルのブリッジインフラに攻撃を仕掛けた。

6名からなるイーサリアムSafeから盗まれた3つの鍵を使用して、攻撃者はBridge ProxyAdminの所有権を攻撃者が制御するウォレットに移譲した。管理権限を取得した後、攻撃者はブリッジを悪意のある実装にアップグレードし、1回のトランザクションで1億4118万HのHを引き出した。

Humanity Protocolは、このトランザクションにはSafeの閾値要件を満たすために必要な署名が含まれており、アップグレードがスマートコントラクトのエクスプロイトではなく、承認されたアクションとして見えるようになっていたと述べた。

BNB Smart Chainでは、侵害された別の3つのSafeキーにより、攻撃者はトークンのProxyAdminの制御を得た。悪意のある実装をデプロイした後、攻撃者は各1億Hの3回のミントトランザクションを実行し、トークンの供給量を約1億4110万Hから4億4110万Hに増加させた。

調査は単一の侵害ポイントを指摘

イーサリアムブリッジの資産が引き出される一方、レポートではBSCトークンは攻撃者が依然としてProxyAdminを制御し、追加のトークンをミントし続けることができるため、回収不可能と記載されている。Humanity Protocolは、攻撃者が今回の事件で影響を受けたブリッジとトークン管理コントラクトの両方の所有権を保持していると述べた。

プロジェクトからの以前の開示は、侵害された従業員デバイスと盗まれたSafeキーに焦点を当てていた。最新のフォレンジック調査結果では、原因が複数の機密バックアップを保存していた1台のマルウェアに感染した開発者マシンに絞り込まれた。レポートによると、調査員はその単一デバイスから7つすべての秘密鍵が取得されたと考えている。

いくつかの疑問は未解明のままだ。Humanity Protocolは、攻撃者がいつ最初にアクセスを取得したか、マシンがどのように侵害されたか、または攻撃が実行される前に盗まれた認証情報がどのくらいの期間保持されていたかをまだ特定していないと述べた。

このインシデントへの対応として、プロジェクトは影響を受けたブリッジを通じた入出金停止を行い、公開リカバリートラッカーを立ち上げ、資産回収につながる情報に対して100万USDTの報奨金を提供した。Humanity Protocolは以前、回収された資金はHトークンの買い戻しに使用されると述べていた。